Protección de peritos

Hace unos meses en este mismo blog hablábamos de la posible necesidad de proteger a los peritos mediante una TIP o similar, de forma que se garantice el anonimato de la persona que firma un informe y que puede llegar a comprometer a una de las partes implicadas o a ambas. En ese post lanzábamos algunas cuestiones que desconocíamos y a las que ningún lector dio respuesta, con lo que estas vacaciones me animé a buscar algo más de información sobre el tema; no creía -y estaba en lo cierto- que fuera el primero que se planteaba algo tan simple…

Investigando un poco, aparece la Ley Orgánica 19/1994, de 23 de diciembre, de Protección a Testigos y Peritos en Causas Criminales. Esta Ley presenta unas disposiciones que según se indica en su artículo primero, serán de aplicación si la autoridad judicial aprecia racionalmente un peligro grave para la persona, libertad o bienes de quien pretenda ampararse en ella, su cónyuge o persona a quien se halle ligado por análoga relación de afectividad o sus ascendientes, descendientes o hermanos. Vamos, que si el juez lo considera, se puede proteger convenientemente al perito, de forma que no aparezca en el informe ningún dato identificativo de éste, que se evite la identificación visual durante la declaración y que a efectos de notificaciones figure el domicilio del juzgado. Es más, se puede incluso proporcionar -imagino que ya para casos muy excepcionales- incluso protección policial, una nueva identidad y salvaguardas similares.

Esta Ley está hecha evidentemente para casos graves; de hecho, es para procesos penales, con lo que quedaría fuera de su ámbito de aplicación cualquier proceso civil, mercantil, etc. (¿esto es así? ¿algún abogado en la sala?). Ójala no necesite nunca solicitar este tipo de protección, porque eso implicaría que sería el perito en un proceso muy desagradable -terrorismo, narcotráfico, grupos organizados…-, pero en caso de necesitarla, se podría disponer de medidas acordes -teóricamente- al riesgo que corre mi integridad o la de personas cercanas a mí. Pero para la justicia más “mundana” (el pirata que entra en un servidor, la empresa que no paga al desarrollador porque el programa no funciona, las fotos incautadas en un equipo…) hasta donde he podido consultar, no hay nada desarrollado. Vamos, que si el chaval de turno quiere pegarte una paliza porque tu informe dice que se ha colado en los sistemas de un tercero, tiene todos los datos necesarios para hacerlo, y si le dices al juez que si puedes acogerte a la Ley anterior, probablemente te dirá que no :(

Insisto en lo que dije en su momento: yo al menos hasta ahora no he tenido un miedo relevante o una sensación de peligro para mi integridad, se trata en muchos casos de simples divagaciones mientras esperas a que te toque declarar… pero todo esto cambia a pasos agigantados; la delincuencia informática -o tecnológica en general- tiene cada vez más peso en los juzgados, y los delitos cometidos a través de nuevas tecnologías implican en muchas ocasiones cantidades enormes de dinero, robos de información muy comprometida, reputación de personas… y un montón de cosas por las que seguro que hay mucha gente dispuesta a todo. Para estos casos espero que pudiéramos aplicar la Ley anterior, pero volvemos a lo mismo: al menos yo, sigo echando en falta algún sistema de protección tan simple como una TIP o un identificador en el juzgado, que venga “de serie” con cualquier peritaje y mediante el cual no haya que solicitar a la autoridad judicial correspondiente ninguna protección adicional salvo que nos encontremos en temas muy espinosos, donde ya entraría la Ley 19/1994. Vamos, como los funcionarios del CNP o de la GC, que por defecto mantienen relativamente su anonimato…

Ojo, si se identifica con una TIP a los peritos, que esté mejor hecha que la de Director de Seguridad: estás obligado a enseñarla a cualquiera que lo solicite y tiene tu nombre, apellidos y DNI perfectamente visibles en ella… una joyita :)

¿Vacaciones?

¿Nos vamos de vacaciones? Será porque estamos a finales de julio. Será por el título del post. O será por la foto de esta entrada, que es la de todos los años por estas fechas y significa una cosa: que nos vamos de vacaciones. Pero a diferencia de otros, este año el que se va NO es Security Art Work sino algunos de los autores, que iremos repartiéndonos unos días de descanso como buenamente podamos (algo es algo). Seguiremos publicando entradas en agosto, aunque obviamente a un ritmo menor que durante el resto del año…

Como en agosto no “cerramos” el blog no vamos a repasar qué ha sucedido de relevancia durante estos once meses -en lo que a seguridad se refiere-, a recordar algunos posts de este periodo o a despedirnos hasta septiembre. Lo que sí queremos hacer es, como cada año por estas fechas, dar las gracias a todos los colaboradores y lectores de Security Art Work, en especial a los que han participado de una u otra forma en el blog durante este tiempo.

Si se van de vacaciones, desconecten unos días; si es así, no hagan caso a nuestra propia recomendación de leer COBIT en agosto (¿qué hacen las autoridades sanitarias que no indican esto en la portada? ;). No lean nada que pueda considerarse arma arrojadiza por un tribunal. Lean a Delibes. Lean a Bukowski. Lean a Goytisolo. Traten de desconectar estos días de muchos términos que empiezan por e- o i- (e-mail, iPhone, estrés…) y sustituyan palabras como sinergias, negocio, convergencia, alineación… por otras como cañas, tapas, siestas y paseos.

Si no se van de vacaciones este mes, no desconecten y sigan leyendo Security Art Work (aparte de a los autores anteriores, por supuesto). Piensen que en agosto se trabaja muy bien y que no tendrán problemas de tráfico para llegar a la oficina. El que no se consuela es porque no quiere :)

Pero en cualquier caso, se vayan o no estos días, desconecten o no, no se olviden de la seguridad en agosto; sigan las recomendaciones de Policía y Guardia Civil en cuanto a pisos vacíos, hurtos en destinos turísticos y demás. No digan en su Twitter si se van, cuándo se van, dónde lo hacen y similares. Piensen que los “malos” no estarán de vacaciones. Pero sobre todo acuérdense de la seguridad en la carretera, que estos días son muy peligrosos y, como solemos decir, no nos sobra ningún lector.

Y ahora sí, para acabar y aunque este año el blog no se vaya de vacaciones, la foto de siempre:

playa

Robert Morris

morrisEsta semana hemos leído la noticia de la muerte, a los 78 años de edad, de Robert Morris, a causa de complicaciones en una grave enfermedad que venía arrastrando. Una noticia triste para todos los que trabajamos en seguridad o tecnología. Un pionero cuyos trabajos muchos hemos seguido -o intentado seguir- de cerca y muchos más han utilizado, casi seguro que sin saberlo, de forma directa o indirecta.

Ahora hablamos de grandes sistemas virtualizados, sistemas operativos para móviles, programas Hola, mundo! que ocupan gigas y gigas de RAM, que si Debian o Ubuntu… En los años 70 Robert Morris fue una pieza clave para el diseño del sistema operativo Unix junto a personas como Ken Thompson o Dennis Ritchie. Las funciones de cifrado o el sistema de autenticación de usuarios de los Unices clásicos se los debemos a él, por citar solo unos ejemplos.

Ahora hablamos de protección de la información, de la importancia de la seguridad, del cifrado de dispositivos móviles…En los años 80 Robert Morris trabajaba para la NSA protegiendo tecnológicamente la información sensible del gobierno. Científico Jefe del NCSC. Por algo sería.

Ahora nos leemos las guías del NIST o del CCN para definir estándares, para implantar salvaguardas o simplemente para aprender más. En los años 80, ya en la NSA, Robert Morris se implicó directamente en las Rainbow Series y facilitó la edición de estos documentos pioneros en aquellas fechas, que fueron publicados por el gobierno estadounidense a través del DoD y del NCSC. Historia de la seguridad a día de hoy (aún conservo los originales como un pequeño tesoro).

Ahora hablamos de malware, infecciones, antivirus… En 1988 Robert Morris Jr., hijo de Robert Morris y actualmente en el MIT, propagó por error un gusano (EL gusano) que desde entonces lleva su nombre (Morris Worm) y que supuso la primera infección masiva de equipos conectados a la red. Un vuelco al concepto de seguridad de la época y que motivó los primeros pasos hacia la seguridad de la información tal y como la conocemos hoy en día: poco después nacía el primer CERT. Robert Morris (padre) fue decisivo para la erradicación del malware propagado por su hijo.

Ahora hablamos de ciberguerra, ciberterrorismo, protección de infraestructuras críticas… En 1991 Robert Morris, poco antes de la Guerra del Golfo -que muchos ni recordarán- participó, o eso dicen, en lo que podríamos considerar la primera acción de ciberguerra: un ataque electrónico contra Saddam Hussein que se supone degradó las capacidades militares de los iraquíes antes de comenzar la guerra.

Ahora muchos se creen expertos en seguridad, hackers o nosequé porque saben hacer una inyección SQL o utilizar el metaexploit. Robert Morris YA era un experto en seguridad (y de verdad, no como tantos otros) cuando muchos de nosotros no habíamos nacido o la herramienta más compleja que conocíamos era una pelota.

Un genio. Un ejemplo a seguir. Descanse en paz.

El Responsable de Seguridad en IICC

El pasado martes estuvimos analizando algunos aspectos del ENS y de la Ley de PIC en una sesión de trabajo junto a amigos y compañeros del mundillo de la seguridad; al hablar de Protección de Infraestructuras Críticas, uno de los puntos de debate fue la obligatoriedad de que el Responsable de Seguridad y Enlace disponga de la habilitación de Director de Seguridad expedida por el Ministerio del Interior, según lo previsto en la normativa de Seguridad Privada, marcada explícitamente en el artículo 16 -si no me equivoco-. Por supuesto, esta obligación generó algo de polémica, ya que el planteamiento es que si buena parte de los riesgos provienen del ámbito tecnológico debería o bien indicarse como requisito algún título, certificación, habilitación… adicional al anterior (o incluso que lo sustituya) o bien dejarse abierto, sin definir ninguna restricción en la Ley en cuanto a requisitos para el Responsable de Seguridad y Enlace. Evidentemente, el foro incitaba al debate porque todos los que participábamos proveníamos del ámbito de las TIC; si la reunión la hubiera organizado AVADISE, por poner un ejemplo, ni siquiera se habría comentado este punto, ya que lo consideraríamos algo normal… ¿verdad? :)

Mis argumentos en este caso fueron de apoyo total a la Ley y a la restricción que impone. Nos guste o no, las figuras definidas en la LSP son las únicas existentes en materia de seguridad -ámbito privado, por supuesto- en España, con lo que si tenemos que definir algún rol “reconocido”, debe ceñirse a estas figuras (y por supuesto, a la hora de hablar del Responsable de Seguridad y Enlace, la figura adecuada es la de Director de Seguridad, ¿verdad?). A partir de ahí, algunas consideraciones:

  1. ¿Se podría haber dejado abierto el perfil requerido, sin exigir ningún título? Por supuesto, pero si queremos homogeneizar este rol el requisito correcto es el marcado en la Ley; en cualquier caso, los tiros iban más por la idoneidad o no de un Director de Seguridad al uso (clásico) para aspectos donde la protección tecnológica tiene mucho peso…
  2. ¿Se podría exigir que el Responsable de Seguridad tuviera alguna certificación tipo CISA, CISM, SANS, etc.? Como poder, imagino que se podría -como tantas otras cosas en España-, pero no creo que fuera correcto. Estas certificaciones no están reconocidas oficialmente en ningún sitio -hasta donde yo sé, que alguien me corrija si me equivoco-, independientemente de su prestigio o de que de vez en cuando se pidan como requisitos en pliegos, por lo que exigir una certificación CISA (o la que sea) para ocupar el puesto de Responsable de Seguridad sería tan correcto como exigir un curso de seguridad en la academia Paco (sí, ya sé que es un ejemplo exagerado, que nadie ponga el grito en el cielo… la academia Paco está en mi barrio y nadie la conoce y la academia ISACA está en todo el mundo, lo sé ;).
  3. ¿Se podría exigir que el Responsable de Seguridad fuera Ingeniero en Informática, de Telecomunicaciones o similares? No creo que estas carreras tengan una focalización especial en seguridad; tengo compañeros que desarrollan su trabajo a la perfección pero ponerlos a hablar de seguridad sería como poner a alguien de seguridad a hablar de diseño lógico o de desarrollo en Java.
  4. ¿Se está valorando más un curso de Dirección de Seguridad que una carrera superior? No creo ni espero que sea el caso, simplemente estamos hablando de cosas diferentes: para trabajar en seguridad no hay una carrera como tal, sino estas habilitaciones… podemos discutir mucho sobre ellas, pero nos guste o no son las únicas que hay.

Creo que el problema de base está, una vez más, en si una persona que ha superado los requisitos del Ministerio del Interior, con un curso de unas cuantas horas y demás, está de entrada capacitada para convertirse en el Director de Seguridad de una Infraestructura Crítica. En general, lo dudo, igual que dudo que una persona con la carrera recién acabada esté capacitada para convertirse en Ingeniero Jefe de la NASA o una persona que se saca una certificación X sea automáticamente un experto en las materias de dicha certificación. El título es un requisito de mínimos seguramente, pero para trabajar en seguridad -o en otros ámbitos- hacen falta aptitudes y actitudes adicionales que no sólo se consiguen estudiando; en el caso concreto de la Seguridad Privada y los cursos de Dirección de Seguridad, creo que todos los que los conocemos estaremos de acuerdo en que hay que reforzarlos muy mucho, no sólo en el ámbito de seguridad de la información o tecnológica, sino en muchos otros. De hecho, ya hay voces de indudable peso en la comunidad de seguridad en España que apuestan por la creación de una carrera, un grado, orientada íntegramente a la seguridad. Es más, hemos hablado muchas veces sobre la necesidad de renovar los roles reconocidos en la LSP y, en este caso, podríamos incluso introducir el rol de un Director de Seguridad especializado en IICC igual que hay Vigilantes de Seguridad especializados en Explosivos. ¿Por qué no? Puestos a pedir… :) Pero mientras esto sucede, nos guste o no, las habilitaciones en Seguridad Privada son las que son y los perfiles que las ocupan en muchos casos -afortunadamente no en todos- son también los que son… ójala esto cambie pronto, por el bien de todos, pero de momento, no hay más…

Por cierto, no puedo acabar este post sin aprovechar para saludar a todos aquellos que, a la sombra de la publicación de la Ley PIC, están tratando de hacer el agosto montando cursos de Dirección de Seguridad a troche y moche, sacados de una chistera en la que antes sólo había cursos de coaching, inteligencia emocional y cosas así, y vendiendo que es el futuro y garantiza el trabajo de por vida porque lo pone en una Ley. Ja, ja, ja. Si alguien cree que simplemente por obtener la habilitación de turno se van a pegar por él a la hora de buscar trabajo, mal vamos…

Analizando a las personas

En el último post hablábamos de los “típicos tópicos” que todos hemos usado, en mayor o menor medida, a la hora de hablar de seguridad: que si es una cadena que falla si lo hace su eslabón más débil, que si el único sistema seguro es aquél que está apagado, enterrado y no sé cuántas cosas más… Dentro de estos tópicos, también decimos siempre que las personas son, o suelen ser, el punto más débil de la seguridad; efectivamente, yo estoy convencido de que es así, y por tanto, aparte de cortafuegos, sistemas de detección de intrusos, antivirus y demás, algo tendremos que hacer para que las personas no introduzcan riesgos significativos para nosotros. Ya hablamos en su momento del riesgo humano y de la monitorización de personas en base a perfiles que se planteaba en la USAF, post que levantó algunas ampollas y planteaba más de una cuestión que se dejó en el aire :)

Sin ser tan estrictos como en el ejército estadounidense ni entrar en potenciales violaciones de intimidad, creo que todos estaremos de acuerdo en que las personas son un elemento clave para el éxito de cualquier proyecto, empresa, organización, colectivo o mil cosas más; en concreto, desde el punto de vista de protección del negocio, las personas son un aspecto crítico para la seguridad corporativa: de su buen hacer depende que seamos seguros (físicamente, legalmente, reputacionalmente…) o que no lo seamos en absoluto. Por este motivo, como ya hemos dicho en alguna ocasión en este mismo blog, se hace cada vez más importante en nuestras organizaciones la monitorización de las personas, de sus actividades, de sus actitudes y, en definitiva, de todo aquello que pueda repercutir negativamente en nuestra seguridad, así como la aplicación de modelos clásicos de inteligencia para obtener, a partir de datos aislados, información vital para la seguridad corporativa.

El primer punto de un ciclo de inteligencia es determinar qué queremos saber y para ello qué información necesitamos obtener y analizar. Creo que lo mejor para nosotros en esta primera fase es plantearnos cómo afectan las personas a la seguridad del negocio; bajo mi punto de vista, más allá de accidentes (por ejemplo si una persona practica escalada…¿consideramos esto un riesgo? Y lo más importante… ¿tomamos medidas para mitigarlo?), las personas introducen principalmente cuatro tipos de riesgo en una organización:

  • Robo de información, espionaje industrial… Lo que toda la vida hemos llamado insider: una persona que, tras una apariencia más o menos normal -o no-, se dedica a robar información corporativa y pasarla a quien pueda utilizarla en nuestra contra (generalmente, la competencia).
  • Perturbación del clima laboral. Una persona descontenta suele acabar minando, antes o después, las relaciones dentro de la empresa. Dicho descontento puede estar o no justificado y, es más, puede que incluso no tenga relación con la actividad profesional y se trate de problemas del ámbito personal, pero todo acaba influyendo en las personas con las que compartes buena parte de tu día a día: tus compañeros.
  • Fuga de personas clave. A pesar de aquello de que “no hay nadie imprescindible”, que comparto plenamente, es cierto que determinadas personas realizan trabajos clave y que, si abandonan la organización, el impacto es mayor que si deja su trabajo otro compañero. Este riesgo puede estar relacionado con el anterior (personas descontentas o poco motivadas que cambian de trabajo por este motivo) o no tener relación alguna: circunstancias personales que obligan a dichas personas a cambiar de trabajo por muy implicados que estén con su organización actual y por mucho que les motive su actividad.
  • Daños a la reputación. Es obvio que una persona que hable mal de nosotros nos causa, en mayor o menor medida, un impacto en nuestra reputación que podríamos asociar en buena parte a riesgos como la perturbación del clima laboral que hemos comentado antes (suele ir todo junto). Pero no sólo eso: en una charla que dí hace meses sobre reputación digital (lo del apellido de “reputación” lo quitaría ;) hablabla de la reputación personal como un activo para las organizaciones; y es que la imagen de las personas es, en muchos casos, parte inseparable de la imagen de la organización, por lo que cierta información personal colgada en Internet, verdadera o no, puede causar también riesgo reputacional para nosotros y constituir un daño a la imagen corporativa.

Con estos tipos de riesgo sobre la mesa -o cualquier otro que consideremos-, podemos empezar a plantearnos qué datos nos gustaría obtener y, de ellos, cuáles podemos obtener y cómo podemos hacerlo; la diferencia entre lo que nos gustaría y lo que podemos obtener es muy importante, ya que si tuviéramos la información que queremos seguramente responderíamos a ciencia cierta a todas nuestras dudas pero, como generalmente esto no es posible, requerimos de un análisis detallado y con unos márgenes de error determinados. Típicos datos a obtener son los relativos al uso de correos electrónicos externos, tipo webmail, dispositivos extraíbles, accesos masivos a datos (para determinar robos de información), uso de redes sociales o microblogs (para detectar desde daños a la reputación a posible fuga de personas), comentarios de compañeros (muy importante a la hora de hablar del clima laboral), etc.

Teniendo claro qué información nos gustaría tener, debemos plantearnos cómo obtener la información, entrando así en la segunda fase del ciclo de inteligencia clásico. Una forma muchas veces sencilla y, aunque informalizada, bastante habitual de obtener información es mediante la actuación de personas, lo que en inteligencia se denomina HUMINT (Human Intelligence). No, no pensemos en agentes tipo 007 colándose por la noche en casa de un compañero; es más: ni siquiera tenemos que llegar al extremo de detectives privados siguiendo a la gente… Mucho más sencillo: un café, la hora de la comida, una cena de empresa -que nos permite conocer a la gente en un ambiente distendido muy diferente al habitual-… estas situaciones son propensas a comentarios que en ocasiones son muy significativos para determinar, sin ir más lejos, si una persona puede estar buscando trabajo fuera de la organización, si está “quemada” por motivos personales o laborales y por tanto crea un mal ambiente -insisto, con o sin razón-, etc. La relación con las personas en las situaciones de nuestro día a día son una fuente muy importante de datos si sabemos observar de forma correcta, tanto por la cantidad de datos que aislados no son significativos pero que podemos “correlar” (al menos mentalmente ;) como por los datos que son significativos de forma directa.

Aparte de HUMINT es cada vez más habitual utilizar técnicas OSINT (Open Source Intelligence) para obtener datos que puedan ser importantes de cara a nuestra seguridad; la información que publicamos en Internet -redes sociales, blogs, webs, etc.- es más que significativa para analizar el riesgo introducido por las personas. Y es que muchas veces no nos damos cuenta -o no nos queremos dar cuenta- de que lo que hacemos en estos lugares lo puede ver el resto del mundo, y que con un sencillo análisis ese “resto del mundo” puede llegar a conclusiones muy rápidas: si últimamente estoy actualizando mi perfil en LinkedIn e incluso pidiendo recomendaciones, no hace falta ser un lince para pensar que puedo estar buscando trabajo; si no hago más que tuitear lo que hago cada segundo de mi vida o los importantes descubrimientos que realizo y que van a cambiar el curso de la humanidad, podemos concluir datos muy interesantes de una personalidad sin ser, ni mucho menos, psicólogos; si en mi FaceBook no paro de poner comentarios en horario laboral, no estoy muy concentrado en mi trabajo… y mil ejemplos más que, sin grandes complicaciones, pueden proporcionar información más que útil para un tercero que quiera analizarme.

Finalmente, como algo mucho más delicado, tenemos la recopilación de información a través de SIGINT (Signals Intelligence); el personal técnico puede tener acceso sin problemas a registros muy importantes para analizar el riesgo humano en la organización: desde los registros de llamadas móviles y fijas -bendito Asterisk- hasta las trazas de correos electrónicos enviados y recibidos o las webs visitadas por los usuarios de la organización. Desde un punto de vista técnico no hay ningún problema en obtener estos datos, procesarlos y generar información muy valiosa: ¿Cuántas visitas a Infojobs realiza nuestra gente? ¿Llaman a números de países con los que el negocio no tiene relación? ¿Llaman a teléfonos o envían correos electrónicos a gente que tenemos en una lista negra, por ejemplo de la competencia? ¿Con qué frecuencia? El problema, como decía, no es técnico: se trata más bien de aspectos legales: ¿es lícito monitorizar estos datos? Es más: ¿Es ético hacerlo? Un debate más que interesante… Por cierto, ¿qué opinais?

Otras técnicas tradicionales de obtención de información, como MASINT o GEOINT, creo que quedan fuera del alcance de casi todos nosotros (de ahí lo que decíamos antes de qué es lo que nos gustaría obtener y qué es lo que podemos obtener), pero con las anteriores podemos sacar conclusiones más que interesantes. Y ahí empieza la tercera fase del ciclo de inteligencia, el procesamiento de los datos obtenidos: reducción, normalización… en definitiva, todo aquello que nos permita utilizar dichos datos para un análisis posterior. En la mayor parte de organizaciones, aunque el procesamiento sí que se ejecute para poder analizar automáticamente otro tipo de riesgos -lógicos, naturales…-, disponiendo para ello de herramientas de análisis, bases de datos, técnicas establecidas… a la hora de monitorizar el riesgo introducido por las personas no es habitual que esta fase esté automatizada ni se utilicen herramientas ad hoc para procesar los datos (¿alguien tiene alguna base de datos de “hechos significativos” en el comportamiento humano?). Si queremos empezar a formalizar esta etapa, un buen modelo de datos es el planteado en nuestra entrada sobre riesgo humano, que hemos citado antes, que nos permitiría generar perfiles de riesgo para las personas que se relacionan con nosotros… Ya tenemos trabajo, aunque en buena parte de nuestras organizaciones -no en todas, por supuesto- estaríamos, como se suele decir, matando moscas a cañonazos :)

Mucho más que centrarnos en esta tercera fase, de procesamiento de los datos, es habitual focalizarnos en la cuarta etapa del ciclo: el análisis de los datos obtenidos y la producción de inteligencia. Como hemos dicho, no hace falta ser un experto psicólogo especializado en conducta humana para darnos cuenta de múltiples detalles que están ahí esperando a que alguien los vea; y cuando alguien los ve, los toma como dato aislado y los analiza junto a otros datos aislados, obtiene conclusiones muy (pero que muy) interesantes para determinar si las personas introducen en nuestras organizaciones alguno de los riesgos que antes hemos comentado (u otros cualesquiera). Esta fase es obviamente la más importante, la que requiere en mayor o menor medida materia gris, y la que por supuesto aporta un incalculable valor al ciclo de inteligencia (aplicado en este caso a la monitorización de personas, pero extrapolable a cualquier “otra” inteligencia).

Los resultados de esta cuarta etapa son la entrada para la quinta fase y última del ciclo, la de diseminación de la información: proporcionar las conclusiones y resultados de la información analizada (la inteligencia) a las personas adecuadas para que éstas puedan tomar decisiones correctas. Aquí viene la gran pregunta, ya no para el analista -nuestro ciclo aquí ha terminado con la diseminación- sino para esas personas que tienen que tomar decisiones: ¿qué hacer cuando detectamos algo que pueda suponer un riesgo? Obviamente no hay -creo- una respuesta única; cada situación debe ser evaluada independientemente, de forma objetiva, teniendo en cuenta cualquier circunstancia adicional que consideremos y, por supuesto, bajo dos principios desde mi punto de vista fundamentales: el de proporcionalidad y el de ética (lo siento, me cuesta decir legalidad, demasiadas veces reñida con la ética). Con esto, las decisiones adoptadas tendrán más probabilidad de ser las correctas, aunque lamentablemente el margen de error siempre está ahí y deberemos asumir que podemos equivocarnos :(

Ojo, para disipar cualquier duda antes de acabar: cuando hablo de “decisiones a adoptar” no estoy refiriéndome, ni mucho menos, a despedir directamente a una persona porque introduzca un cierto riesgo en la organización; justo por eso hablaba de los principios de proporcionalidad y de ética. Salvo en el caso de robo de información o actividades expresamente malintencionadas, donde para mí no hay duda de lo que hacer, cualquier otra situación puede ser mitigada sin llegar a estos extremos… Sólo hace falta buscar soluciones inteligentes.

Seg2

La semana pasada estuvimos en la tercera edición de Seg2, el encuentro de seguridad integral que como cada año organiza Borrmart; la verdad es que la agenda del evento pintaba muy bien, con gente de reconocida trayectoria en el ámbito de la seguridad integral -tanto provenientes de la parte física como de la parte lógica-. Tenía especial interés en escuchar a dos referentes de la seguridad en España: Andrés Martín, de NovaCaixaGalicia, y Guillermo Llorente, de MAPFRE; ninguno de ellos defraudó :)

Tras la apertura del evento, comenzaron Andrés Martín y Emilio Santos, de NovaCaixaGalicia, mostrando cómo gestionan la seguridad en su organización, desde un punto de vista integral, con dos cabezas pero con un único cerebro; Andrés, como siempre, sin pelos en la lengua, dejó claro que en general seguimos a algunos añitos de los USA, aunque vamos por el buen camino (detrás de ellos, pero por buen camino). Tras ellos, Jesús Jiménez, Director de Operaciones de EULEN, describió cómo tienen organizado su Departamento de Inteligencia y nos recordó la importancia de la inteligencia en seguridad (otras empresas, como S21Sec o nosotros mismos, también estamos trabajando en este ámbito, con o sin departamento independiente).

Después de estas charlas y alguna otra, lo más relevante fue una mesa redonda sobre convergencia (otra más ;) bajo el título CSO, CIO, CISO…¿distintas caras de la misma moneda?; Guillermo Llorente fue, bajo mi punto de vista, el participante que tenía las ideas más claras (quizás porque coinciden con las mías ;): una figura única como responsable de la protección del negocio, aunque operativamente puedan existir -y existan- múltiples actores que colaboran en dicha protección… por lo demás, en la mesa volvimos a lo mismo: conceptos que llevamos meses repitiendo -o años- y que no siempre aplicamos, como ya dije en el post sobre la convergencia only available for PPT… En las intervenciones, actuación estelar de Andrés Martín, esta vez desde el público, poniendo los puntos sobre las íes y diciéndonos verdades como templos, como por ejemplo que dejemos de utilizar el apellido “integral”, porque el simple concepto de “seguridad” ya engloba esta acepción y nadie debe entender la seguridad de otra forma.

La segunda jornada del encuentro comenzó con Víctor Izquierdo, Director General de INTECO, hablando en buena parte del cumplimiento -legal o técnico- en materias de seguridad de las empresas pequeñas de nuestro país, con un panorama más bien oscuro ;), y continuó con una interesante charla de Jacinto Muñoz, de MAPFRE, contándonos cómo habían conseguido introducir la Seguridad en los procesos de negocio de la organización, convirtiéndola así en algo natural para todo el personal y a lo que nadie pone trabas (si esto es así, enhorabuena ;).

Aparte de las anteriores, de esta segunda jornada lo más destacable para mí fue en primer lugar la intervención de Juan Carlos González, de COLT; aunque en algunas cosas de las que expuso no estoy de acuerdo, reconozco que el planteamiento me gustó y levantó ampollas entre el público hablando de la diferencia entre Director de Seguridad y Directivo, y recordándonos que no basta un curso de X horas en el que se tratan ciertas materias de forma superficial (y muchas otras materias ni siquiera eso) para trabajar como Director de Seguridad. Ojo, puedo incluso estar de acuerdo con este mensaje, pero no podemos hablar como si esto fuera culpa de otros, porque es culpa de todos nosotros… ¿o van a venir ahora de otro planeta a modificar los planes de formación, por ejemplo? Si no nos movemos los que trabajamos en seguridad, nadie se moverá por nosotros. Aparte de COLT, resultó muy interesante -algo alejada de nuestro día a día, pero muy interesante e instructiva- la mesa redonda sobre inteligencia competitiva y su aplicación para el desarrollo de los negocios (otra muestra más de la importancia de la inteligencia en seguridad), con gente de peso en esta materia, tanto de la Administración Pública como de la empresa privada.

En definitiva, dejando de lado algunas charlas más comerciales -si pago tengo derecho a hablar de lo buenos que somos y de lo bien que lo hacemos-, un encuentro interesante, tanto por algún que otro ponente como por vernos las caras con gente con la que hace tiempo que no coincidíamos. Desde aquí nuestra enhorabuena a Borrmart por la organización, porque montar algo así sabemos por experiencia que es complicado y hacer que tenga éxito mucho más. Eso sí, para próximos congresos, a ver si conseguimos que nadie diga aquello de que la seguridad es una cadena que falla si lo hace el eslabón más débil, porque llevamos años con el ejemplito y se repite en cada Securmática, ENISE, etc. ¿Alguna idea alternativa? :)

Entrevista a Jorge Ramió (2/2)

Continuamos hoy con la segunda y última parte de la extensa entrevista a Jorge Ramió que iniciamos ayer; confiamos en que sea de su agrado.

5. Como experto en Criptología, una pregunta que no puede faltar. ¿Son seguras nuestras comunicaciones habituales frente a los delincuentes? ¿Podemos estar tranquilos al hablar por el móvil, al enviar un correo electrónico cifrado con PGP o al utilizar la banca online?

Sí, son seguras. La inseguridad es más nuestra, de los humanos, que de los sistemas. Es obvio que incluso el sistema más protegido siempre puede ser vulnerado, que existe malware zero-day y todo eso, la historia nos ha dado muchos ejemplos, pero lo cierto es que el eslabón humano es el más débil de toda la cadena de seguridad, una frase repetida miles de veces pero no por ello menos cierta.

Sin caer en paranoias y hablando siempre de un usuario final que es por donde va tu pregunta, un poco de sentido común y tener el sistema operativo y un antivirus siempre actualizado, debería ser suficiente para no pasar malos momentos. Como usuarios y personas comunes, en el sentido de que no somos un alto cargo del Ministerio de Defensa, ni en la OTAN, ni los directivos de una gran multinacional me refiero, es muy poco probable que suframos ataques directos. En todo caso, serían ataques masivos como por ejemplo un phising de banca online al haberse instalado malware en nuestro PC. Si ese malware está ahí, lo más probable es que no hayamos cumplido la premisa indicada anteriormente: sentido común + S.O. actualizado + antivirus actualizado.

[Read more…]

Entrevista a Jorge Ramió (1/2)

JorgeRamioPara los más viejos del lugar no es necesaria ninguna presentación de Jorge Ramió; por si hay alguien que no lo conozca, Jorge es —aparte de un amigo— Doctor Ingeniero de Telecomunicación, profesor de la Universidad Politécnica de Madrid y desde hace más de dieciséis años imparte docencia en el ámbito de la seguridad, tanto en España como en Latinoamérica.

Criptólogo de referencia a nivel nacional, lidera además iniciativas como Criptored, red temática de criptografía y seguridad de la información, es ponente habitual en congresos de todo el mundo y por falta de espacio no podríamos citar ni una milésima parte de sus publicaciones y trabajos en la materia :)

1. Jorge, en primer lugar agradecerte tu colaboración en esta entrevista; es un lujo contar con tu opinión en este blog. La primera pregunta que nos gustaría hacerte es casi obligada. Eres una persona que lleva muchos años en el mundo de la seguridad y podemos considerarte uno de los principales referentes en Criptología a nivel nacional. ¿Cómo has visto la evolución en seguridad en nuestro país durante estos años? ¿Vamos a mejor? ¿Vamos a peor? ¿Seguimos igual?

Hola Toni, es un verdadero placer que de vez en cuando se acuerden de ti y haya gente que se interese por lo que algunos estamos haciendo, o al menos intentamos hacer, en este mundillo de la seguridad de la información. No obstante, primero que nada una aclaración necesaria: suena muy hermoso eso de criptólogo y referente a nivel nacional, pero no llegamos a tanto ni mucho menos. Es más que suficiente indicar que soy un estudioso y trabajador de la seguridad y de la criptografía y que, efectivamente y eso es verdad, llevo más de 15 años dedicado a la seguridad.

[Read more…]

¿Una TIP para peritos?

Recientemente he estado otra vez en un juicio por lo penal como perito; como ya comentamos hace unos días, los juicios siempre son desagradables, pero los penales aún más si cabe, tanto por el “público” que te rodea antes de entrar a declarar -o en ocasiones incluso dentro- como por lo que sabes que se están jugando los acusados: penas de cárcel.

Esta vez, en las largas horas de espera antes de declarar, estaba de nuevo dándole vueltas a una idea que cada vez que voy a los juzgados de lo penal me vuelve a la cabeza: la necesidad de identificar al perito en los informes que firma. Cuando llaman a declarar a un Policía Nacional o un Guardia Civil lo hacen por su TIP (Tarjeta de Identidad Profesional), y lo mismo sucede cuando estas personas firman un informe: jamás se indica nombre o apellidos, domicilio o ningún dato que identifique de forma directa a la persona, por motivos obvios de seguridad; así, nadie identifica a Pepito Pérez, policía, sino al funcionario del CNP con TIP XXXXX. Algo parecido sucede con el personal de seguridad privada: si actúo como Director de Seguridad, dejo de ser Toni Villalón para ser el Director de Seguridad con TIP YYYY.

Esto parece obvio en algunos casos pero, ¿qué sucede si firmo un informe como perito informático? El acusado tiene, a través de su abogado, todos mis datos: nombre y apellidos, domicilio para notificaciones, teléfono de contacto, número de colegiado, correo electrónico y un sinfín de información más. Esto me preocupa especialmente si voy por parte de la acusación o soy perito judicial y estoy haciendo un informe que perjudica al acusado, que podría incluso emprender cualquier acción que considere contra mí. Y creedme que en algunos casos (gente que se juega cárcel o sanciones económicas importantes) no te quedas muy tranquilo :(

Todo esto se solucionaría -al menos en parte- si como peritos tuviéramos algún tipo de identificación aséptica, cuya asociación a una persona física conozca únicamente el juzgado, la Policía o quien corresponda, pero que obviamente no sea de dominio público; algo como tienen las FFCCSE o el personal de seguridad privada. En primera instancia podríamos pensar en utilizar algo tan sencillo como el número de colegiado de un determinado Colegio Profesional, pero la cruda realidad es que esta información es pública por la Ley 25/2009, con lo que nuestro gozo en un pozo. Creo que necesitamos una TIP -o una TAP, llamémosle como queramos- para peritos que garantice cierto anonimato para las partes involucradas en un proceso judicial y que nos identifique de forma unívoca, ¿no?

Sé que esto es fácil decirlo en un blog pero luego no es inmediato implantarlo; de entrada, ¿quién mantiene ese registro de peritos? ¿Quién expide las tarjetas de identidad? ¿Tendrían valor identificativo, al menos en los juzgados? ¿Se complicaría mucho la burocracia judicial, ya de por sí compleja? ¿Nos harían descuento en el súper?… :) Muchos problemas para una preocupación de unos pocos, así que imagino que a corto plazo las cosas se mantendrán igual en este sentido… tampoco sé si hay impedimentos legales para ello o si se ha intentado en alguna ocasión y no ha funcionado (ni por qué). Imagino -más que imagino, quiero creer- que en casos de alto riesgo (para el perito) como terrorismo o narcotráfico a gran escala, existirán formas de preservar cierto anonimato no sólo de testigos o policías, sino también de peritos… ¿no?

¿Nadie más se ha planteado esto? ¿Soy el único que a veces está intranquilo? ¿Alguien conoce alguna iniciativa en este sentido? ¿Alguna forma de identificación menos indiscreta que todos tus datos expuestos en la primera hoja del informe? Cualquier información que podais aportar será bienvenida… La verdad es que por ahora no considero que peligre ni haya peligrado seriamente mi integridad física… pero me empiezo a plantear, para próximos informes periciales, firmar con la TIP de Director de Seguridad, a ver si me dejan :)

Cosas que escucho en el juzgado

Con el presente post nos despedimos hasta el martes próximo; pasen ustedes una feliz Semana Santa y cuidado en la carretera, que no nos sobra ningún lector ;)

Hace ya algún tiempo -bastante- publicamos en Security Art Work una entrada relativa a cosas que escucho en el bus; muchas veces me acuerdo de este post -obviamente porque sigo escuchando cosas interesantes por aquí y por allí- pero hace unos días ya llegué a un extremo que no me había pasado hasta el momento; fue durante un juicio al que acudía como perito. Aparte de lo desagradables que son los juicios, sobre todo los de lo penal y los juzgados de familia, y las horas de espera con poco o nada que hacer hasta que te llaman a declarar -los peritos vamos al final-, siempre me ha llamado la atención la “alegría” con que los abogados dejan a la vista de desconocidos documentación o comentan aspectos del juicio y la estrategia que van a seguir sin ningún pudor, delante de quien sea. Pero este caso ya se llevó la palma; por circunstancias que no vienen al caso, al entrar en el juzgado -que no en el juicio- y comenzar esas apasionantes horas de espera que comentaba, me senté relativamente lejos de nuestro cliente y sus testigos, solo en un banco. Tras unos minutos leyendo el correo electrónico y contestando a algún mail atrasado, llegaron unas personas y se sentaron a mi lado. Por supuesto, enseguida me dí cuenta de que se trataba de la parte contraria, con su abogado a la cabeza, así que no pude por menos que prestar atención a lo que decían :)

Obviamente, su tema de conversación era el juicio al que se enfrentaban, y sin darse cuenta de que estaban ante un desconocido -yo en este caso- comenzaron a hablar de la parte contraria, de la que yo era perito, de su estrategia, de lo malo que era mi cliente y de una serie de temas que afectaban directamente al proceso judicial. Ojo, todos ellos sin excepción: desde el abogado al acusado, pasando por los testigos y amigos, familiares o lo que fueran que le habían acompañado al juzgado…

Que esto lo haga un ciudadano de a pie lo puedo hasta entender; que esto lo haga un abogado, un profesional que debe saber lo que está haciendo y qué se juega por hacerlo, ya es algo que no concibo. Señores, ustedes manejan información confidencial, clasificada, secreta o como le quieran llamar. Empezando por datos de carácter personal y acabando por información más que sensible -estrategias de defensa o acusación, datos de otros casos…- e incluyendo además comentarios del tipo “pues este juez es muy malo” o similares. Además, ustedes están trabajando con personas que se juegan mucho dinero, penas de cárcel o simplemente su honor y eso debe ser motivo más que suficiente para no “publicar” cierta información alegremente. No pueden dejar a la vista esas enormes carpetas de documentación en cuya portada se puede leer quién demanda a quién y por qué; no pueden hablar con total tranquilidad de ciertos aspectos de un juicio delante de perfectos desconocidos; cuando hablan por el teléfono móvil no tiene por qué enterarse toda la planta, y mil cosas más. En definitiva, no se trata de aplicar unas medidas de seguridad militar para ciertos casos -para otros, como terrorismo o narcotráfico espero que sí-, sino simplemente de utilizar la lógica y pensar que el resto del mundo tiene ojos y oidos, y nuestra conversación puede interesarles muchísimo.

Muchas veces, al hablar de protección de la información nos perdemos en macroprocedimientos, modelos de clasificación y marcado, auditorías de cumplimiento… y no nos damos cuenta de que situaciones como las comentadas son un claro peligro cotidiano de fuga de información; sin DLP, sin escuchas ilegales, sin intervención de las comunicaciones… sin nada más que un poco de atención. Si algún abogado nos lee, que espero que sí, por favor, remita esta entrada a alguno de sus colegas :) Quizás esto pasa en otros colectivos -miedo me da pensar en las conversaciones de médicos en la cafetería de un hospital-, pero afortunadamente piso más los juzgados que los hospitales -y créanme que ningún juicio es agradable, pero menos lo suele ser la visita al hospital- y en el caso de los abogados clama al cielo poder oir ciertas conversaciones.

Para finalizar, decir que antes de escuchar cualquier cosa -más- que no quería oir me levanté de mi sitio y me fui a tomar un café a la cafetería del juzgado. Otro gran sitio donde la confidencialidad de la información brilla por su ausencia y que, cuando tenga un rato, será motivo para otra entrada en este blog.